Debians sikkerhedsbulletin

DSA-3203-1 tor -- sikkerhedsopdatering

Rapporteret den:
22. mar 2015
Berørte pakker:
tor
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-2688, CVE-2015-2689.
Yderligere oplysninger:

Flere lammelsesangrebsproblemer er opdaget i Tor, et forbindelsesbaseret anonymt kommunikationssystem med lav latenstid.

  • Jowr opdagede en meget høj DNS-forespørgselsbelastning på et relay, kunne udløse en assertionfejl.

  • Et relay kunne gå ned med en assertionfejl, hvis en buffer med nøjagtigt det forkerte layout blev leveret til buf_pullup() på præcis det forkerte tidspunkt.

I den stabile distribution (wheezy), er disse problemer rettet i version 0.2.4.26-1.

I distributionen testing (jessie) og i den ustabile distribution (sid), er disse problemer rettet i version 0.2.5.11-1.

Yderligere deaktiverer denne opdatering understøttelse af SSLv3 i Tor. Alle versions af OpenSSL, som anvendes med Tor i dag, understøtter TLS 1.0 eller senere.

Desuden opdateres med denne udgivelse geoIP-databasen, som anvendes af Tor, samt listen over directory-myndighedsservere, som Tor-klienter anvender til bootstrap og som underskriver Tors directory-koncensusdokument.

Vi anbefaler at du opgraderer dine tor-pakker.